워드프레스 4.8.2 릴리즈가 발표되었습니다.
4.8버전은 에반스라는 별칭으로 불리는데, 재즈 피아니스트 빌 에반스를 기념하는 명칭입니다. 2017년 6월에 에반스가 발표된 이후로 4.8.1 버전을 거쳐 에반스 시리즈의 세 번째 릴리즈입니다.

이번에 릴리즈된 4.8.2 버전은 이전 버전에서 달라진 점은 9가지 주요 보안 이슈가 추가된 것입니다. 대부분 크로스 사이트 스크립팅(XSS) 취약점을 개선한 것입니다.

워드프레스 4.8.2 개선된 보안 이슈들

  1. $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. Reported by Slavco
  2. A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery. Reported by xknown of the WordPress Security Team.
  3. A cross-site scripting (XSS) vulnerability was discovered in the visual editor. Reported by Rodolfo Assis (@brutelogic) of Sucuri Security.
  4. A path traversal vulnerability was discovered in the file unzipping code. Reported by Alex Chapman (noxrnet).
  5. A cross-site scripting (XSS) vulnerability was discovered in the plugin editor. Reported by 陈瑞琦 (Chen Ruiqi).
  6. An open redirect was discovered on the user and term edit screens. Reported by Yasin Soliman (ysx).
  7. A path traversal vulnerability was discovered in the customizer. Reported by Weston Ruter of the WordPress Security Team.
  8. A cross-site scripting (XSS) vulnerability was discovered in template names. Reported by Luka (sikic).
  9. A cross-site scripting (XSS) vulnerability was discovered in the link modal. Reported by Anas Roubi (qasuar).

보안과 관련해서는 번거롭기는 해도 자주 업데이트가 되어 불필요한 보안 문제를 겪지 않는 편이 훨씬 낫다고 봅니다.

참고로, 기억할 한 가지 점은 워드프레스의 기본 기능인 핑백, 트랙백 기능이 종종 DDoS 공격에 악용되기도 한다는 점입니다. 비즈니스를 위해 워드프레스로 사이트를 만든 경우라면 차라리 핑백과 트랙백 기능을 꺼두는 것이 안전을 위해 나은 선택이라고 생각됩니다. (이 블로그의 “워드프레스 사이트 속도 최적화 방법” 포스트의 “8. 핑백과 트랙백 끄기” 부분을 참고하세요)

자세한 개선 사항은 워드프레스의 블로그 페이지에서 확인하실 수 있습니다.

워드프레스 4.8.2로 업데이트하셨나요?
아직 안하셨다면, 지금 관리자 모드로 로그인하셔서 확인해 보시기 바랍니다.


2017년 10월 5일에 워드프레스 4.9 베타 1이 발표되었습니다. 소개 페이지를 참조하세요.